一个名为Mount Locker的勒索软件正在开展工作,该勒索软件首先入侵并窃取受害者的文件,然后对这些文件进行加密,然后索要数百万美元的赎金。
大约从2020年7月底开始,Mount Locker开始侵入企业网络并部署他们的勒索软件。
根据受害人与BleepingComputer共享的赎金记录显示,Mount Locker团伙要求在某些情况下支付数百万美元的赎金。
在加密文件之前,Mount Locker还会包留未加密的文件,并威胁受害者,如果不支付赎金,就会公布他们的文件。
例如,Mount Locker告诉一名受害者,他们窃取了他们400G的数据,如果他们没有按要求支付赎金,他们会通知受害者的竞争对手、媒体、电视频道和报纸关注此事,并将数据公布到一个勒索软件数据泄露站点(用于提供泄露数据下载链接)。
该数据泄露网站目前列出了四名受害者,其中有一人的文件被泄露。
MountLocker勒索软件
直到最近,MalwareHunterTeam才捕捉到Mount Locker的样本,这让我们对该勒索软件的工作原理有了更深入的了解。
Michael Gillespie对勒索软件进行了分析,他告诉BleepingComputer, Mount Locker使用ChaCha20加密文件,并使用一个嵌入的RSA-2048公钥加密加密密钥。
根据我们的分析,当加密文件时,勒索软件会以.Readmanual.ID的格式添加扩展名。例如,1.doc将被加密并重新命名为1.doc.ReadManual.C77BFF8C,如下图所示。
然后勒索软件会在注册表中注册扩展名,这样当你点击加密文件时,它就会自动加载勒索信。注册表值如下:
HKCU\Software\Classes\.C77BFF8C\shell\Open\command\ @="explorer.exe RecoveryManual.html"
赎金通知名为recoverymanul.html,包含如何访问Tor网站与勒索软件操作员联系的教程。
不幸的是,MalwareHunterTeam认为该勒索软件不存在漏洞,没有办法破解并免费恢复受害者的文件。